Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
21
Apr

Der neue Arbeitsschutzstandard SARS-CoV-2 des BMAS – Zur Verbindlichkeit dieses Standards zum Arbeitsschutz in Zeiten von Corona sowie zu dessen datenschutzrechtlicher Implikation

April 21, 2020
, ,

Mitautor: Tobias Pollmann*

Während es in den letzten Beiträgen wieder vermehrt um Datenschutz im engeren Sinne und dabei vor allem ein datenschutzgerechtes sowie datensicheres Homeoffice ging (Teil 1 und Teil 2!), wenden wir uns heute maßgeblich dem Arbeitsschutz zu. Allerdings nicht ohne doch noch auch in diesem Zusammenhang auf den Datenschutz zurückzukommen.

Am Mittwoch, den 15.04.2020 verkündete die Bundesregierung gemeinsam mit den Ministerpräsident*innen die ersten Lockerungen der strengen Maßnahmen zur Eindämmung der Coronakrise. Damit jedoch das langsame „Hochfahren“ der Wirtschaft nicht schiefgeht und in kürzester Zeit die Lockerungen uns erneut an den Rand des Zusammenbruchs führen, bedarf es – nicht nur, aber auch – einiger einheitlicher Regeln zum Schutz der Arbeitnehmer*innen vor dem Coronavirus in den Betrieben. Diesem Thema hat sich das zuständige Bundesministerium für Arbeit und Soziales (BMAS) angenommen und am Donnerstag, den 16.04.2020 ein Papier mit dem Titel „SARS-CoV-2-Arbeitsschutzstandard“ vorgestellt.

Welche rechtlichen und tatsächlichen Implikationen dieses Papier hat, haben wir uns für Sie angeschaut.

Worum geht es in dem Papier?

Bevor ich Ihnen den Inhalt des Papieres sinnvoll aufschlüsseln kann, sollten wir einen kurzen (*versprochen!) Exkurs zu den rechtlichen Grundlagen für Arbeitssicherheit und Arbeitsschutz machen. Zwar werden viele von Ihnen damit bereits bekannt sein, jedoch kommt dieser Bereich gerade in kleineren Unternehmen häufig etwas zu kurz.

Exkurs: Rechtsgrundlage Arbeitssicherheit und Arbeitsschutz

Wie Ihnen hoffentlich bekannt ist, existieren neben den zahlreichen gesetzlichen Regelungen zum Beispiel zu Urlaub (Bundesurlaubsgesetz) und Arbeitszeit (Arbeitszeitgesetz) auch solche, die die Arbeitssicherheit (ASiG) und den Arbeitsschutz (ArbSchG) betreffen. Dabei regelt das ArbSchG eher grundlegend die Maßnahmen für Sicherheit und Gesundheitsschutz der Beschäftigten, während das ASiG diejenigen Personen betrifft, die zum Arbeitsschutz eingesetzt werden, also Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit.

Es treffen natürlich nicht alle Pflichten aus den Gesetzen alle Betriebe – jedoch gibt es gewisse Grundsätze, die in jedem Betrieb eingehalten werden müssen. So enthält beispielsweise § 3 Abs. 1 ArbSchG die Grundverpflichtung für jeden Arbeitgeber

„die erforderlichen Maßnahmen des Arbeitsschutzes unter Berücksichtigung der Umstände zu treffen, die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen. Er hat die Maßnahmen auf ihre Wirksamkeit zu überprüfen und erforderlichenfalls sich ändernden Gegebenheiten anzupassen. Dabei hat er eine Verbesserung von Sicherheit und Gesundheitsschutz der Beschäftigten anzustreben.“

Jetzt wissen Sie mit Sicherheit alle, was zu tun ist, oder?! Dachte ich mir. Deshalb gibt es zahlreiche weitere Verordnungen (z.B. Arbeitsstättenverordnung, Betriebssicherheitsverordnung) und berufsgenossenschaftliche Grundsätze, die diese Regelungen ausfüllen und an die Sie sich, je nach Unternehmensgröße und Ausgestaltung, zu halten haben.

Und was sind nun die neuen „Corona“-Arbeitsschutzstandard?

Nun aber zum eigentlichen Thema: Dem Papier des BMAS. Das BMAS twitterte dieses Papier mit dem Zusatz, dass es sich dabei um „verbindliche“ Standards halte. Ob das wirklich der Fall ist, interessiert uns erst gleich, zunächst stelle ich vor, was drinsteht:

Das Papier gliedert sich in drei Teile, I., II. und III.

Der erste Teil (I.) ist einleitend gehalten und stellt zwei Grundsätze vor, die sich durch den Rest der Standards ziehen:

  • Wenn Zweifel bestehen, ob die betrieblichen Maßnahmen ausreichend sind, sind Masken zur Verfügung zu stellen und zu benutzen!
  • Personen mit Atemwegssymptomen sollen sich nicht auf dem Betriebsgelände aufhalten, solange die Ursache nicht abgeklärt ist. Zu diesem Zweck hat der Arbeitgeber ein Verfahren festzulegen.

Der zweite Teil (II.) beschäftigt sich mit dem betrieblichen Maßnahmenkonzept, was einzurichten ist. Das gliedert sich in „besondere technische Maßnahmen“ (Punkte 1.-7.), „besondere organisatorische Maßnahmen“ (Punkte 8.-14.), sowie „besondere personenbezogene Maßnahmen“ (Punkte 15.-17.). Diese Punkte im Einzelnen aufzuschlüsseln wäre hier etwas zu ausführlich, weshalb ich nur wenige herausgreifen möchte, die meines Erachtens auf jedes Unternehmen zutreffen:

Besondere technische Maßnahmen
  • Punkt 1. formuliert, dass Arbeitsplätze so einzurichten sind, dass entweder der Mindestabstand von 1,5m einzuhalten ist oder transparente Abtrennungen eingerichtet werden (*die Abtrennungen sollten Ihnen von der Kasse im Supermarkt bekannt sein…). Nach Möglichkeit sollte auch weiterhin das Homeoffice (siehe zu den datenschutzrechtlichen wie – technischen Anforderungen unsere bereits genannten Blogartikel: Teil 1 und Teil 2) durch die Mitarbeiter genutzt werden und/oder darüber hinaus freie Raumkapazitäten genutzt werden, um Abstände zwischen den Mitarbeitern einzuhalten.
  • Punkt 3. betrifft das regelmäßige Lüften, was unbedingt durchzuführen ist, sofern keine Klimaanlage („Raumlufttechnische Anlage“) existiert. Letztere ist bitte nicht abzuschalten, da sonst die Luft im Raum nicht erneuert wird und das Infektionsrisiko steigt.
  • Punkt 7. mahnt an, Dienstreisen und Präsenzveranstaltungen (also auch Besprechungen) auf ein Minimum zu reduzieren und stattdessen weiterhin auf Video- und Telefonkonferenzen zu setzen. Wie immer gilt bei zwingender persönlicher Anwesenheit: Abstand!
Besondere organisatorische Maßnahmen
  • Punkt 8. betrifft die Verkehrswege im Unternehmen. Diese sind so zu gestalten, dass der Abstand eingehalten werden kann (*etwa mittels Klebeband – auch das ist aus den Supermärkten bekannt…).
  • Punkt 10. formuliert, dass Arbeitszeit und Pausengestaltung entzerrt werden sollte. Darüber hinaus soll bei Schichtplänen aber auch darauf geachtet werden, dass möglichst die gleichen Personen zusammenarbeiten, um den Infektionskreis zu verringern.
  • Punkt 12. gibt vor, dass die Besuchszeit betriebsfremder Personen möglichst inklusive Kontaktdaten dokumentiert wird. (*Datenschutzrechtliche Implikationen! Siehe dazu weiter unten)
  • Punkt 13. stipuliert, dass Handlungsanweisungen für Verdachtsfälle zu treffen sind – an wen sich die Belegschaft zu wenden hat, wie damit umzugehen ist und dass bei Corona-Verdacht zunächst von Arbeitsunfähigkeit auszugehen ist.
Besondere personenbezogene Maßnahmen
  • Punkt 15.: Es soll bei unvermeidbarem Kontakt zu anderen Personen dringend Masken zur Verfügung gestellt werden und von den Personen getragen werden.
  • Punkt 16 formuliert die Auflage, dass im Betrieb eine umfassende Kommunikation über alle getroffenen Schutzmaßnahmen sicherzustellen ist.

Der dritte Teil (III.) schließlich formuliert die Umsetzung und die Anpassung dieser Arbeitsschutzstandards durch einen Beraterkreis beim BMAS, die Spezifikation der Maßnahmen durch die Länderbehörden für individuelle Branchen und die Veröffentlichung und Verbreitung des Standards durch die Bundesregierung und die diversen Arbeitenhmer-, Arbeitgeberverbände und der Unfallversicherungen.

Und was hat das mit uns als Unternehmen zu tun?

Eben habe ich es bereits kurz angedeutet: Das BMAS verlautbarte – jedenfalls auf Twitter – , diese Standards seien „verbindlich“.  Meine kontinuierliche Nutzung der „“ zeigt ja bereits, dass da etwas im Busch liegt.

Ist es eine Rechtsverordnung?

Da wir ja hier keine Lehrstunde im deutschen Gesetzgebungsprozess machen wollen, fasse ich mich kurz: Im Exkurs sprach ich bereits davon, dass sowohl das Arbeitsschutzgesetz, als auch Arbeitssicherheitsgesetz relativ weit gefasst sind und durch zahlreiche Rechtsverordnungen ausgefüllt werden. Rechtsverordnungen haben Gesetzeskraft, sie stehen auf einer Ebene mit Gesetzen und sind entsprechend auch definitiv zu befolgen (*die StVO, die Straßenverkehrsordnung, dürfte die wohl bekannteste Rechtsverordnung sein). Rechtsverordnungen sind durchsetzbar.

Nun könnte man meinen, es handele sich bei diesem Papier auch um eine Rechtsverordnung – und damit verbindliche, durchsetzbare Standards. Es könnte morgen die Aufsichtsbehörde klopfen und sich diese Maßnahmen zeigen lassen und, falls diese nicht umgesetzt wurden, gem. § 25 Abs. 1, Abs. 2 ArbSchG mit einem Bußgeld bis zu 5.000 € ahnden. Falls dann ein Anordnung nach § 22 Abs. 3 ArbSchG ergeht und diese auch nicht befolgt wird, kann das Bußgeld sogar bis zu 25.000 € betragen.

Handelt es sich aber um eine Rechtsverordnung? Nein. Denn dafür fehlt die nach § 18 ArbSchG zwingende Zustimmung des Bundesrates. Dazu gäbe es noch ein paar weitere Anforderungen, die auch nicht erfüllt sind (etwa die Nennung der Ermächtigungsgrundlage, siehe Art. 80 Abs. 1 S. 3 GG). Es handelt sich hier also definitiv nicht um eine Rechtsverordnung, mithin also auch nicht um eine Maßnahme mit „Gesetzeskraft“, sondern um eine bloße Verwaltungsvorschrift ohne Außenwirkung.

Warum schreiben wir dann überhaupt darüber?

Wir wären keine Juristen, wenn es nicht doch irgendwie einen Aspekt gäbe, der diesen „Standard“ doch zumindest zu einem gewissen Grad verbindlich macht. Sie erinnern sich an die obige „Grundpflicht“ des Arbeitgebers? Die Pflichten, die Sie als Arbeitgeber sowieso und immer gegenüber Ihren Mitarbeiern haben, auch wenn keine Coronakrise ist? Genau. Zu diesen Pflichten gehört auch die Fürsorgepflicht für Ihre Mitarbeiter. Und eben danach sind sie verpflichtet, getroffene Maßnahmen „auf ihre Wirksamkeit zu überprüfen und erforderlichenfalls sich ändernden Gegebenheiten anzupassen“ (§ 3 Abs. 1 S. 2 ArbSchG).

Diese Maßnahmen werden gegebenenfalls von den zuständigen Behörden überprüft und – Sie erraten es: geahndet. Diese wiederum orientieren sich zur Prüfung natürlich an gewissen Standards. Das bildet das Einfallstor für diese nun veröffentlichten „Arbeitsschutzstandards“. Diese Standards bilden den Maßstab, an denen die Pflichten des Arbeitsschutzgesetzes geprüft werden. So kommt durch die Hintertür zumindest eine ansatzweise Verbindlichkeit zustande.

Deshalb sollten Sie sich diesen Standard genau durchlesen und das auf ihren Betrieb anwendbare möglichst umsetzen.

Weitere Implikationen? Da war doch was mit dem Datenschutz…

Sie wissen, wir machen  immer sehr gerne Arbeitsrecht, aber wann immer das Datenschutz und-/oder IT-Recht sichtbar wird, schlagen wir ebenso gerne die Brücke dahinüber. Oben gestatteten wir uns schließlich bereits die Anmerkung, dass der Arbeitsschutzstandard SARS-CoV-2 natürlich auch datenschutzrechtliche Implikationen hat und da sind wir nun:

So sollen nach Punkt 12. des Papiers nach Möglichkeit die Kontaktdaten einer betriebsfremden Person dokumentiert werden, um im Fall der Fälle die Infektionsketten nachverfolgen zu können. Vielfach wird das sicherlich sowieso bereits praktiziert, weil es sich bei den betriebsfremden Personen um Geschäftspartner handelt. Natürlich handelt es sich dabei aber um eine Verarbeitung von personenbezogenen Daten im Sinne der DSGVO (Art. 4 Nr. 1 und Nr. 2 DSGVO). Das heißt auch, dass Sie einen Erlaubnisgrund für die Verarbeitung nach Art. 6 DSGVO brauchen. Im Rahmen von Geschäftsbeziehungen verarbeiten Sie die Daten Ihrer Ansprechpartner regelmäßig Art. 6 Abs. 1 lit. b) DSGVO, nämlich aufgrund der vertraglichen Beziehung oder zur Anbahnung einer solchen. (Daneben kann auch ein berechtigtes Interesse nach Art. 6 I f) DSGVO im Hinblick auf die (Daten-)Sicherheit in Ihrem Unternehmen in Betracht kommen – um also nachverfolgen zu können, welche Personen Zugang zu welchen Bereichen eines Unternehmens hatten, eine organisatorische Maßnahme im Sinne von Art. 32 DSGVO).

In diesem Fall erheben Sie die Daten betriebsfremder Personen jedoch gerade im Zusammenhang mit einer (potentiellen) Geschäftsbeziehung oder in Form einer organisatorischen Maßnahme, sondern einzig und allein, um diese gegebenenfalls auf eine mögliche Corona-Infektion in Ihrem Unternehmen zu informieren und Infektionsketten nachverfolgbar zu machen.

Haben Sie bislang die Daten von betriebsfremden Personen aus den oben genannten Gründen erhoben, so wäre die Verarbeitung zu „Corona“-Zwecken eine Zweckänderung im Sinne von Art. 6 Abs. 4 DSGVO. Eine solche Zweckänderung ist nur unter den in Art. 6 Abs. 4 DSGVO genannten Voraussetzungen zulässig. Mit Art. 6 Abs. 4 DSGVO ist dem Gesetzgeber nicht gerade die klarste aller Formulierungen gelungen, aber ich versuche es einmal so einfach als möglich:

  • Entweder bedarf es bei der Zweckänderung einer Einwilligung des Betroffenen. In der Regel haben Sie keine Einwilligung Ihrer Besucher zur Verwendung ihrer Daten zu „Corona-Verfolgungszwecken“ vorliegen. Und diese wollen Sie auch nicht – und schon gar nicht nachträglich – einholen.
  • Dann kann eine Zweckänderung zulässig sein, wenn der Zweck in einer Rechtsvorschrift läge, die unter anderem dem Schutz von Rechtsgütern Dritter wie der Gesundheit dienen würde. Doch, oh, weh oh ach. Wie eben ausgeführt handelt es sich bei den „Arbeitsschutzstandards“ eben nicht um eine solche Rechtsvorschrift.
  • Folglich muss – sehr verkürzt ausgedrückt – geprüft werden, ob die Verarbeitung zu einem anderen Zweck mit demjenigen Zweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. Passt eine Verarbeitung zur Verfolgung von Infektionsketten zu dem ursprünglichen Zweck des Aufbaus von Geschäftsbeziehungen und/oder dem Zweck der Aufrechterhaltung der Datensicherheit durch organisatorische Maßnahmen? Das Bauchgefühl sagt hier wohl recht deutlich „Mhm. Irgendwie nicht.“.

Folglich bedarf die Datenverarbeitung unter Zweckänderung oder – falls Sie nun aufgrund der neuen Arbeitschutzstandards erstmals diese Daten verarbeiten – die neue Datenverarbeitung der Besucherdaten einer Rechtsgrundlage. Hier gilt nun wieder:

Wäre es der Arbeitsstandard bereits eine Rechtsverordnung, so könnte man problemlos die Erlaubnis in der rechtlichen Verpflichtung zur Verarbeitung gem. Art. 6 Abs. 1 lit. c) DSGVO, nämlich in der Erfüllung von gesetzlichen Vorschriften, sehen. Eine solche haben wir nicht. Allerdings kann – wie auch ausgeführt – der Arbeitsschutzstandard als Konkretisierung der gesetzlichen Fürsorgepflicht des Arbeitgebers betrachtet werden. In diesem Fall könnte man Art. 6 Abs. 1 lit. c) DSGVO als Rechtsgrundlage heranziehen.

Wem dieses Eis zu dünn ist, der wird sich jedoch im Ergebnis auf  das berechtigte Interesse von sich selbst oder eines Dritten gem. Art. 6 Abs. 1 lit. f) DSGVO stützen können. Schließlich hat das Unternehmen jedenfalls ein berechtigtes Interesse an ordnungsgemäßen Arbeitsschutzmaßnahmen und der damit einhergehenden Nachverfolgung von Infektionsketten und Dritte wie Arbeitnehmer und Besucher haben ebenfalls ein Interesse daran, im Fall der Fälle informiert werden zu können.

Hier gilt wieder einmal, wie so oft im Datenschutzrecht: Viele Wege führen nach Rom und Sie werden für den einen wie den anderen Weg Befürworter in Lehre, Aufsätzen und Literaturkommentaren finden (Gerichtsentscheidungen haben wir natürlich noch nicht). Für welchen Weg Sie sich auch entscheiden, wichtig ist, dass Sie auch diesen Verarbeitunbgsprozess – wie alle anderen – in ihr Verzeichnis von Verarbeitungstätigkeiten aufnehmen, die Informationen zur Datenverarbeitung anzupassen Löschkonzepte konzipieren und, nun ja, den Anforderungen der DSGVO gerecht werden. (Sie wissen nicht, wovon ich rede? Na, dann gucken Sie doch einmal hier oder vielleicht auch hier vorbei. In beiden Artikeln erklären wir leicht verständlich, worauf man bei der DSGVO-Compliance eigentlich grundsätzlich achten muss.).

Zurück zum Arbeitsschutzstandard an sich: Was müssen Sie jetzt tun?

Ich würde Ihnen jedenfalls das Folgende empfehlen:

  • Lesen Sie den Arbeitsschutzstandard aufmerksam und implementieren Sie, was auf Ihren Betrieb zutrifft. (Sofern Sie noch nie das ArbSchG in der Hand hatten, wäre jetzt ein idealer Zeitpunkt, sich damit vertraut zu machen!). Das heißt insbesondere:
    • Implementieren Sie Handlungsanweisungen für Verdachtsfälle,
    • designieren Sie intern zentrale Ansprechpartner*innen,
    • schaffen Sie die technisch-organisatorischen Voraussetzungen für eine Corona-gerechte Zusammenarbeit,
    • und, falls der Mindestabstand nicht möglich ist: Besorgen Sie Masken und andere persönliche Schutzausrüstung für Ihre Mitarbeiter (Ja, Sie dürfen kurz herzlich Lachen, wir wissen alle, dass selbst die Krankenhäuser schon MNS nähen lassen…)
  • Achten Sie auf die Pressemitteilungen der zuständigen Behörden, falls der Arbeitsschutzstandard weiter angepasst wird.
  • Denken Sie daran, auch Ihre DSGVO-Dokumentation im Übrigen anzupassen.

Falls Sie es bis hierhin geschafft haben: Danke für die Aufmerksamkeit!

In diesem Sinne,

bleiben Sie gesund oder werden Sie es schnell und bis bald!

*Die Entstehung dieses Beitrags ist ganz maßgeblich der Mitarbeit von Tobias Pollmann, LL.M. (Hamburg; Rotterdam), LL.M. (Haifa), Jurist, Referendar und wissenschaftlicher Mitarbeiter bei MÖHRLE HAPP LUTHER zu verdanken.

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

Informationen zur Datenverarbeitung

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.